現在、どのような業界・業種においてもサイバー攻撃の標的となり得る可能性があることを考えると、セキュリティの責任者や専任者の必要性を理解し、セキュリティに強い企業・組織に成長することが求められられています。
CISOや情報システム部、セキュリティ担当を配置しなければ、セキュリティインシデントが発生する可能性があり、企業や組織として不要かつ無用な被害を受けてしまう可能性が高まります。
今回はCISOに関する基礎知識、そしてセキュリティの責任者や専任者を必要とした時にすべきことについてお話します。

CISOに関する基礎知識

はじめにCISOに関する基礎知識について簡単に説明します。

CISOとは

CISOはChief Information Security Officerの略称であり、最高情報セキュリティ責任者を指します。企業や組織内における情報セキュリティの最高責任者として、セキュリティに関する基盤の構築、運用とともにセキュリティ人材への指示や関係各所との調整、またはサイバー攻撃やセキュリティインシデントの際の判断や対応を最前線で行うのが役割です。
実際の業務の現場においても、セキュリティ担当や情報システム部の中だけでは対処できないことも多く、特にセキュリティに関しては「社内や組織内全部が対象」であることから、権限とともも責任を持った人材が必要なのも事実です。そのため、CISOが存在することで、権限を持ち、責任を取れる人間が部門や部署を越え、スムーズに判断や指示を行うことが可能となり、セキュリティに対して実効力のある施策や行動を行えるようになります。

CISOが必要とされる理由とその背景

昨今、サイバー攻撃や内部不正によるセキュリティインシデントに対し、企業や組織としても責任を持って対処すべき時代です。そのため、CEO（Chief Executive Officer：最高経営責任者）やCIO（Chief Information Officer：最高情報責任者）と同格の責任者としてCISOを配置する流れになりました。実際にセキュリティインシデントによって経営が揺らぐことを考えると、CEOやCIOと同じようにセキュリティに対して責任者が配置されるのは自然です。
また、情報システム部やセキュリティ担当など、特定の部門や部署、担当を配置するだけでは権限が足りず、判断が遅れてしまうことで被害が拡大することがあります。そのため、役職、立場、権限を持ったCISOを配置することで、迅速な判断による対処ができるような体制を構築しておくことが求められているとも言えるでしょう。

CISOが必要なのに配置されていないこともある

CISOはいわゆる肩書きである部分もあるため、実質的にはCISOと同じような業務を担当していても、CISOを名乗っていないこともあります。同様にCISOが必要なのに、CEOやCIOが兼務、またはセキュリティ分野においても責任範囲にしていることも珍しくありません。
しかし、経営に関していえば、セキュリティが利益や売上に直接的な影響があるとは断言できず、同時にセキュリティについて知識や経験があるだけでは経営陣や管理職に昇進できるとも限らないため、CISOが配置されないこともあるでしょう。言い換えれば、セキュリティに対して本腰ではない、またはセキュリティ担当や情報システム部があるものの、責任は割り当てられているのに、権限を備えていないというアンバランスな状況に陥っているとも言えます。

セキュリティの軽視やセキュリティの投資不足の懸念も

そもそも、前述したようにセキュリティそのものは経営が揺らぐ可能性はあるものの、直接的に利益や売上につながるものではりません。「セキュリティインシデントを起こさないこと」がセキュリティの目的であるのに、何も起こさない（利益や売上になるわけではない）ためにコスト・時間・人材を浪費しているように感じられてしまうのです。
また、セキュリティ人材の雇用、セキュリティ部門の設置、セキュリティに関するシステムやデバイスの運用など、セキュリティはお金がかかります。いわゆる、そう安くはないコストが必要になることから、今までセキュリティに投資してこなかった企業や組織ですと、軽視どころか必要性を感じられないまま、セキュリティが疎かなままになってしまいます。

セキュリティインシデントが起きてからでは遅いということ

セキュリティインシデントはセキュリティ対策を行えば絶対に防げるという類のものではありません。しかし、何も対策しないままではセキュリティインシデントは発生する危険性がきわめて高くなります。特にセキュリティ対策は範囲がとても広いため、どこからどこまで対策すれば良いのか正解はありません。同様に業界や業種によってベースとなるIT基盤が異なることで、個別のセキュリティ対策が必要なこともあります。
どの場合においても、セキュリティに投資しなかったことで、セキュリティインシデントが起きてしまえば、結果として企業や組織として責任を取らなくてはなりません。セキュリティインシデントを起こさないためにもCISOも含めて、情報システム部の設置とセキュリティ担当の配置し、セキュリティを強化することが必須であるのは間違いありません。

セキュリティの責任者や専任者を必要とした時にすべきこと

次にセキュリティの責任者や専任者を必要とした時にすべきことについて解説します。

社内や組織内のセキュリティに関する情報を洗い出し、精査する

まずは現時点におけるセキュリティ体制や基盤を把握するためにも、社内や組織内のセキュリティに関する情報を洗い出し、精査することから始めましょう。IT資産管理や情報資産管理のために何のシステムを利用しているか、セキュリティに関するツールやソフトの導入状況、各種デバイスのアップデートや保守・整備・管理・修復など、どのような流れで対応しているか綿密にチェックすることをおすすめします。

社内や組織内にセキュリティの責任者や専任者に相応しい人材がいるか調査

次に実質的に誰がセキュリティの責任者なのか、誰がセキュリティに関する業務や作業を行っているのか調査しましょう。その上で、社内や組織内においてセキュリティの責任者や専任者に相応しい人物がいるか見極めるべきです。注意点としてはセキュリティを軽視していたり、業界や業種的にITやセキュリティに疎かったりすると、セキュリティに関する責任者が不在、同時にセキュリティに関する作業や業務を兼務していることがある点です。CISOも含めて、セキュリティ担当の配置や情報システム部を設置を行いたいのであれば、従来の作業や業務から切り離して、セキュリティに専念できるようにすることが大切です。

社内や組織内に統合的なセキュリティ管理が可能なシステムを導入する

もし、現時点においてIT資産管理や情報資産管理など、統合的になセキュリティ管理が可能なシステムがないのであれば、前向きに導入することをおすすめします。なぜなら、単にセキュリティの責任者や専任者を配置するだけではセキュリティを確保することはできないからです。パソコン・スマートフォン・タブレットなど物理的なデバイス＝IT資産の管理、そしてOSやソフトウェアなどシステム的なデバイス管理および情報資産に対するセキュリティ対策が可能なシステムを導入すると早い段階から高いセキュリティ性を確保することができます。

セキュリティの責任者や専任者に十分な権限を与えることも大事

セキュリティの責任者や専任者を配置したら、必ず十分な権限を与えることを忘れないでください。いくら技術や経験があっても、具体的に指示や命令ができる強い権限がなくては、現場の人間も含めて、他の従業員が言うことを聞いてくれない可能性があるためです。特にセキュリティに関する知識や知見が乏しい場合、重要性を理解できずに対応してくれないことがあります。そのため、しっかりと業務命令として指示や伝達、命令や指摘に対応すること、対応させることができる権限を持たせることは必須であると覚えておきましょう。

セキュリティに関する投資は直接的な見返りがないように感じる点に注意

CISOや情報システム部、セキュリティ担当などセキュリティ人材とセキュリティのためのソフトや資材、デバイスなど、セキュリティに関する投資は決して安いものではありません。そのため、直接的な見返りがないと感じてしまい、検討の時点では他の利益や売上になる投資にコストを分配したくなります。しかし、セキュリティ対策や体制・基盤の構築は何も起こさないこと、何か起きても最小限の被害に留めるのが最高最大の見返りであり、リターンであることを理解し、セキュリティのコストを軽視しないことを心がけてください。

まとめ：セキュリティを軽視せず、セキュリティに投資すること